El servicio de seguridad Cloud WAF de ITSec tiene como objetivo proveer de protección al aplicativo web de los diversos ataques que son realizados desde cualquier punto del internet, con el fin de garantizar que sus servicios se mantengan seguros y disponibles.
El servicio se basa en una configuración de alta disponibilidad, con una arquitectura diseñada para inspeccionar los patrones y firmas de ataques en distintos niveles de red, tomando medidas mitigatorias en tiempo real a los nodos que tienen actividades maliciosas con el servicio. Esta solución es Cloud, siendo transparente para los servicios del cliente.
| RESPONSABLE DEL SERVICIO | REALIZADO POR | FECHA DE ELABORACIÓN |
|---|---|---|
| Cloud Technologies | 01-02-2024 |
| VERSIÓN | REVISOR | FECHA |
|---|---|---|
| A | Cloud Technologies | 03-02-2024 |
| 1.0 | PMO |
| DIRIGIDO A | EMPRESA |
|---|---|
| Nombre | |
| Nombre | Nombre empresa |
| Nombre | |
| Nombre | |
| Franklin Martínez | ITSec S.A. |
| Cloud Technologies |
A través de la presente se les comunica a ustedes que toda la información, documentación y/o conocimiento o cualquier otro antecedente de propiedad de la empresa, que con motivo del presente informe se pusiese a su disposición o tuvieren acceso a las mismas, se entiende para todos los efectos legales como “información confidencial”, en este sentido ITSec S.A. se obliga a mantener estricta confidencialidad y reserva y a no divulgar por ningún motivo o causa los contenidos de ellos; ni a utilizarla en su propio beneficio.
Esta obligación se hace extensiva a todos los funcionarios o empleados que formen parte de ITSec S.A. en adelante “ITSec”, sean o no dependientes, como también a sus socios y familiares.
Lo anterior incluye tanto la información documentada como verbal. La presente nota se entiende como parte esencial e integrante de nuestra presentación del proyecto.
El objetivo del presente documento es mostrar los datos de acceso al sitio web referente a seguridad, detallando los ataques detectados y bloqueados por el sistema durante el mes, indicando además los eventos ocurridos y la acción aplicada sobre cada uno de ellos. Nuestro servicio se convierte en el punto de revisión para los servicios web y las URL protegidas, filtrando todo tipo de ataques DDoS u otro tipo de intento de explotación de vulnerabilidades que las aplicaciones puedan recibir.
A continuación, se presenta a modo de resumen, el alcance de servicio para el aplicativo: www.cliente.cl.
| DESCRIPCIÓN | DATOS |
|---|---|
| Mes de servicio | Enero 2024 |
| URL | www.cliente.cl |
| IP pública del servidor web 1 | 1.1.1.1 |
| Configuración de alta disponibilidad (HA) | Activo |
| Apuntamiento DNS | clientes.1800waf.com |
| IP pública WAF ITSec Nodo 1 | 111.111.111.11 |
| Monitor de contenido | / |
| Observaciones | Sin observaciones |
Se presentan a continuación las gráficas del tráfico mensual del sitio procesado por el servicio Cloud WAF ITSec.
En la imagen número 1 se observa el gráfico correspondiente a los requests procesados.
Imagen número 1 – Gráfico de requests procesados en el mes del sitio www.cliente.cl.
La imagen número 2, muestra el tráfico aproximado del sitio, en el mes de enero con una transferencia de datos total de 7.116,1 MB.
Imagen número 2 – Gráfico de megabytes procesados en el mes del sitio www.cliente.cl.
Los eventos de seguridad para www.cliente.cl detectados por el servicio Cloud WAF de ITSec para el período monitoreado fueron los siguientes:
La tabla número 1, indica los eventos en base al nivel de acceso.
| NIVEL DE ACCESO | OCURRENCIAS | PORCENTAJE |
|---|---|---|
| Bloqueos Geolocalización | 2.870 | 97,79% |
| Aplicación WEB | 65 | 2,21% |
Tabla número 1 – Eventos en base al nivel de acceso.
La tabla número 2 indica las firmas de seguridad en base a su criticidad.
| NIVEL DE ACCESO | OCURRENCIAS | PORCENTAJE |
|---|---|---|
| Alta | 3 | 4,62% |
| Media | 3 | 4,62% |
| Baja | 59 | 90,77% |
Tabla número 2 – Firmas de seguridad en base a su criticidad.
Los eventos de seguridad tienen una clasificación de acuerdo con el nivel del modelo OSI, en el cual son empleados en la plataforma de protección WAF de ITSec. Existen dos niveles en donde se generan bloqueos de direcciones IP:
Protección WAF: Este nivel corresponde solo a la capa 7 del modelo OSI, que es básicamente el servicio que interactúa con el usuario a través del navegador web, en esta capa la protección es brindada por el WAF de ITSec que inspecciona el tráfico del protocolo HTTPS y detecta las actividades maliciosas hacia el servicio web, los eventos detectados en este nivel son clasificados como de “Criticidad Media y Alta”.
Los eventos de seguridad también tienen una clasificación de acuerdo con la criticidad de las firmas utilizadas. ITSec clasifica las firmas en 3 niveles que se detallan a continuación:
Criticidad Alta: Se categorizan como eventos de criticidad “Alta” aquellos que pueden afectar la confidencialidad, integridad y la disponibilidad del servicio; dentro de esta categoría se incluyen los siguientes ataques:
Criticidad Media: Se categorizan como eventos de criticidad “Media” los que pueden afectar la confidencialidad, o sean indicios de ataques dirigidos sofisticados, en esta categoría se incluyen las siguientes firmas:
Criticidad Baja: Se categorizan como eventos de criticidad “Baja” a los que indican un posible indicio de ataque mayormente generado por escaneos automáticos o por ser orígenes detectados como maliciosos. Dentro de esta categoría se incluyen los siguientes:
El análisis de los eventos en este ítem corresponde a los eventos en la capa 7 de aplicación web para www.cliente.cl, clasificados como bajos, medios y altos.
A continuación, en la tabla número 3, se presenta un detalle de las firmas utilizadas en el período.
| TIPO DE FIRMA | SEVERIDAD | CANTIDAD | PORCENTAJE |
|---|---|---|---|
| OS commanding | Alta | 2 | 3,08% |
| DoS attempt | Alta | 1 | 1,54% |
| Detection evasion | Media | 3 | 4,62% |
| Access violation | Baja | 58 | 89,23% |
| Enumeration | Baja | 1 | 1,54% |
Tabla número 3 – Detalle de firmas detectadas en el mes.
Gráfico número 1 – Representación gráfica de la tabla número 3.
El detalle de estas firmas detectadas por la plataforma WAF se muestra a continuación, donde se observa hacia qué path estuvo dirigida cada firma detectada, y cuál fue la cantidad de estos eventos durante el período informado.
| SEVERIDAD | FIRMA | PATH | CANTIDAD |
|---|---|---|---|
| Alta | OS commanding | /testapi/captcha/ | 2 |
| Alta | DoS attempt | /registro-de-clientes/accountinfo | 1 |
| Media | Detection evasion | /siteauth/authenticate/openid/connect/authorize | 3 |
| Baja | Access violation | /xmlrpc.php | 16 |
| Baja | Access violation | /adminapp/styles/0e1c1675b60bc164.css | 4 |
| Baja | Access violation | /wp-login.php | 4 |
| Baja | Access violation | /adminapp/assets/icons/favicon-128x128.png | 3 |
| Baja | Access violation | /adminapp/assets/icons/favicon-16x16.png | 3 |
| Baja | Access violation | /adminapp/assets/icons/favicon-32x32.png | 3 |
| Baja | Access violation | /adminapp/assets/icons/favicon-96x96.png | 3 |
| Baja | Access violation | /adminapp/assets/js/monaco-editor/vs/loader.js | 3 |
| Baja | Access violation | /adminapp/favicon.ico | 3 |
| Baja | Access violation | /adminapp/main.99b4e0ab583c18b8.js | 3 |
| Baja | Access violation | /adminapp/polyfills.6964a17c0ad323bb.js | 3 |
| Baja | Access violation | /adminapp/runtime.dc1018bc11177fc.js | 3 |
| Baja | Access violation | /adminapp/vendor.56cf9a83951b85e6.js | 3 |
| Baja | Access violation | /adminapp/assets/icons/favicon-196x196.png | 3 |
| Baja | Access violation | /wp-admin.php | 1 |
| Baja | Access violation | /wp-config.php | 1 |
| Baja | Enumeration | /nice_ports/trinity.txt.bak | 1 |
Tabla número 4 – Detalle de firmas detectadas en el periodo.
De los eventos reportados durante el mes, se registró 3 bloqueos de dirección IP correspondientes a ataques de criticidad alta.
En la imagen número 3 se puede observar que la actividad de los bloqueos de IP durante el mes fue de 3 eventos.
Imagen número 3 – Bloqueos IP por eventos “altos” reportados en el mes.
En la tabla número 5 se muestran las principales direcciones IP identificadas como orígenes de ataques sobre la aplicación web detectados durante el período, identificando la ciudad, país y organización a la cual corresponde.
| IP ATACANTE | CANTIDAD | CIUDAD | PAÍS | ORGANIZACIÓN/ISP |
|---|---|---|---|---|
| 192.168.210.219 | 805 | Punta Arenas | Argentina | DIRECTV |
| 192.168.225.64 | 372 | Iquique | Chile | GTI |
| 192.168.201.89 | 108 | Valparaíso | Chile | Telefónica |
| 192.168.71.188 | 108 | La Serena | Uruguay | VTR |
| 192.168.54.69 | 105 | Santiago | Brasil | Tricom |
| 192.168.147.109 | 90 | Arica | Ecuador | Claro |
| 192.168.255.122 | 64 | Temuco | Colombia | Movistar |
| 192.168.155.144 | 62 | Rancagua | Venezuela | Entel |
| 192.168.45.25 | 51 | Antofagasta | Bolivia | Tigo |
| 192.168.137.33 | 49 | Concepción | Paraguay | Axtel |
Tabla número 5 – Detalle de las 10 IP orígenes de ataques, con mayor recurrencia sobre la aplicación web.
Gráfico número 2 – Representación gráfica de la tabla número 5.
El análisis de los eventos en este ítem corresponde a los eventos por geolocalización, clasificados como criticidad baja. Actualmente los países que están bloqueados para acceder al sitio del cliente son Azerbaiyán, Bosnia and Herzegovina, China, India, Irán, Iraq, Lao People’s Democratic Republic, Nigeria, Rusia, Yemen y Zimbabue.
Este ítem considera todos los eventos de geolocalización que corresponden al sitio www.cliente.cl. Se registraron 2.870 eventos que activaron firmas de seguridad, a los cuales se les procede a bloquear el acceso al sitio web.
En la tabla número 6, se muestran los principales países (top 10) identificados como orígenes de los ataques en el nivel de geolocalización.
| PAÍS | CANTIDAD |
|---|---|
| China | 1.070 |
| Rusia | 805 |
| Singapur | 372 |
| Rusia | 226 |
| India | 145 |
| Australia | 113 |
| Irlanda | 30 |
| Honduras | 20 |
| Noruega | 20 |
| Reino Unido | 8 |
Tabla número 6 – Detalle de los TOP 10 países.
Gráfico número 3 – Representación gráfica de la tabla número 6.
Durante el mes de enero no se presentaron incidentes de seguridad que comprometieran la confidencialidad o integridad del servicio web monitoreado y protegido para Cliente.
Durante el mes de enero 2024, se registraron 59 eventos de criticidad baja, 3 eventos de criticidad media y 3 eventos de criticidad alta. Todos los eventos fueron detectados y bloqueados por el sistema WAF en su capa de protección Web Application Firewall. Además, fueron detectados y bloqueados 2.870 eventos provenientes de países bloqueados por geolocalización en el WAF.
La información referida a la geolocalización de las direcciones IP es obtenida mediante el sitio www.iplocation.net.
A continuación, un glosario de términos usado en el presente documento: